Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

Een Roemeense promovenda van de Universiteit Twente stelt een methode voor om foto's die mobieltjesgebruikers van elkaar nemen, te combineren en het resultaat als sleutel te gebruiken voor veilige gegevensoverdracht.

Ileana Buhan promoveert donderdag aan de faculteit Elektrotechniek, Wiskunde en Informatica op haar onderzoek 'Secure Ad-hoc Pairing with Biometrics: Safe'. Buhan stelt dat de in de cryptografie gebruikte methode van publieke en private sleuteluitwisseling niet ideaal is bij spontane gegevensoverdracht tussen mobiele apparaten, omdat de authenticiteit van de publieke sleutel niet altijd geverifieerd kan worden. Wachtwoorden en pincodes kunnen verder worden vergeten, verloren of afgenomen worden, dus twee gsm-gebruikers die elkaar vertrouwen kunnen beter gebruik maken van unieke informatie als een vingerafdruk of gezichtskenmerken, zo stelt Buhan in haar onderzoek.

Vanwege de aanwezigheid van ruis is het echter lastig identieke sleutels te genereren op basis van biometrische gegevens: metingen aan dergelijke gegevens, zelfs als ze van dezelfde gebruiker afkomstig zijn en onder dezelfde omstandigheden worden verkregen, zijn nooit identiek. Buhan gebruikt een wiskundige methode om toch bruikbare, maar geen identieke, sleutels te onttrekken aan biometrische gegevens en ze schetst een manier waarop deze te gebruiken zijn als basis voor een veilige sessie-sleutel.

Gebruikers moeten daarvoor over een mobiel apparaat beschikken dat zijn bezitter kan herkennen, door zijn gezicht te analyseren op essentiŽle kenmerken. Door het resultaat van deze analyse uit te wisselen en deze te combineren met over en weer van elkaar genomen foto's kunnen mobieltjesgebruikers dezelfde sleutel onttrekken aan de biometrische gegevens, waarmee ze een veilige gegevensoverdracht tot stand kunnen brengen. Volgens de onderzoekster is de methode, die ze het Safe-protocol heeft gedoopt, bestand tegen een man-in-the-middle-aanval.

Moderatie-faq Wijzig weergave

Reacties (17)

En dit zou waarom beter zijn dan via NFC even een keypair uitwisselen tussen twee mobile devices? NFC is zo short range dat het vrijwel niet af te luisteren is en en als je asymmetrische encryptie gebruikt is dat nog niet eens erg. Even de mobieltjes tegen elkaar aantikken en klaar, gemakkelijk en supersnel.

Bonus is ook dat je elkaar moet ontmoeten om de key uit te wisslen dus authenticatie is ook geregeld, je weet 100% zeker wie de andere persoon is als je hem/haar ontmoet hebt (en zijn/haar paspoort gechecked of hem/haar kent).

Processing tijd is ook al geen issue, want je kunt natuurlijk gewoon de andere device je public key sturen. Die kun je gewoon bij een factory reset ofzo genereren (of op verzoek van de gebruiker) en hoeft dus niet steeds opnieuw aangemaakt te worden voor elke peer.

[Reactie gewijzigd door Gerco op 23 oktober 2008 22:15]

En hoe zit het hier met eeneiige tweelingen? Kan me voorstellen dat dat een probleem gaat worden...
Denk dat foto's een groter probleem zijn ;)
ehm... foto maken, een md5 genereren van het jpg-bestand en dat als key gebruiken voor IKE/AES/whatever... das toch niet zo moeilijk?

De prachtige en 'vernieuwende' concepten die soms verzonnen worden...

Je kunt ook de ruis die door de GSM-antenne opgepikt wordt als bron voor de codering gebruiken. Vereist in ieder geval geen gebruikshandeling.

Bovenstaande is natuurlijk geen authenticatie. Gezichtsherkenning zou je daar wel voor kunnen gebruiken, maar dan maakt dit alleen beveiligde gegevens overdracht mogelijk als je bij iemand in de buurt bent. Niet wanneer je aan de andere kant van de aardbol staat.

edit: woordkeus

[Reactie gewijzigd door Wizzkid007 op 23 oktober 2008 23:32]

ehm... foto maken, een md5 genereren van het jpg-bestand en dat als key gebruiken voor IKE/AES/whatever... das toch niet zo moeilijk?

De prachtige en 'vernieuwende' concepten die soms verzonnen worden...

Je kunt ook de ruis die door de GSM-antenne opgepikt wordt als bron voor de codering gebruiken. Vereist in ieder geval geen gebruikshandeling.

Dit is natuurlijk geen authenticatie. Foto's zou je daar wel voor kunnen gebruiken, maar dan maakt dit alleen beveiligde gegevens overdracht mogelijk als je bij iemand in de buurt bent. Niet wanneer je aan de andere kant van de aardbol staat
Juist. Alleen als ik een foto maak van een beeld en jij maakt met jouw telefoon ook een foto van dat beeld zijn onze foto's niet bit-voor-bit gelijk. Daar heeft deze kerel dus een oplossing voor gevonden waarbij die kleine afwijkingen in ruis en misschien ook een beetje perspectief niet uitmaken maar het wel veilig blijft. Het concept mag dan wel niet enorm vernieuwend zijn (ik vind het zelf eigenlijk vrij innovatief), maar het implementeren is nog iets compleet anders ;).
gezichtsherkenning is al gebaseerd op bepaalde kenmerkende punten - niets nieuws
een hash aanmaken aan de hand van gegevens - ook al niets nieuws
het encrypten van tekst - ook al niet nieuw
het verzenden van data van 1 mobieltje naar de andere - pfff.

innovatief? toch niet echt.

Straks komt er iemand met precies hetzelfde maar vervangt gezichtsherkenning met spraakherkenning, of vingerafdrukherkenning (eerste vingerscanners zitten ook al in mobieltjes, toch?), etc. moet dat dan innovatief worden genoemd omdat i.p.v. bijv een pincode / password / passphrase er een andere manier wordt gebruikt om de hash te genereren?
innovatie is niet altijd iets nieuws verzitten, maar meestal zelfs bestaande dingen toepassen
Kijk naar de paperclip. Metaal en papier bestonden al erg lang.

Maar al die haar en shampoo producten die claimen innovatie te hebben is natuurlijk niet zo...

[Reactie gewijzigd door Wizzkid007 op 24 oktober 2008 02:25]

vind ik toch net een andere vergelijking... een paperclip is een vrij uniek idee op zich, niet een combinatie van ideŽen.

Je hebt een grondstof: metaal
Je hebt een probleem: hoe hou ik die dingen bij elkaar

Oplossing 1: we maken een nietje
Oplossing 2: we maken een paperclip
nietje en paperclip zijn dan toch echt twee totaal verschillende dingen... net zoals gezichtsherkenning en stemherkenning totaal verschillende dingen zijn (zelfs een hoop basis principes zijn daar niet hetzelfde.. een stemherkenning kan je niet als 1D probleem bestempelen en dan zeggen dat voor een plaatje je gewoon stemherkenning op kolommen danwel regels pixels moet loslaten).
Als je nou zegt dat je een andere paperclip maakt, dmv plastic, -dan- heb je wel weer een verhaaltje "tjonge, maar da's briljant.".. dan ga je ook niet tegen de volgende die 'm uit ik-noem-maar-wat uit balso hout maakt toejuigen dat ie een genie is.

Nemen we daarentegen...
Oplossing 3: we maken met het metaal een pons die een verbonden gat in het paper maakt en het deel wat we het 'gat' noemen vouwen we om ('stapleless staple')
Dan hebben we het wel weer over een compleet nieuw idee, al is er nog steeds hetzelfde gebruikt.

Als je al een systeem hebt wat uit een aantal 'black boxes' bestaat, en je vervangt 1 zo'n 'black box' met een andere, dan blijft het systeem gewoon grotendeels hetzelfde en kan ik het in ieder geval niet innovatief noemen.
Maar ik werk niet bij het patentbureau (en al helemaan niet in RoemeniŽ), dus of de wettelijke definitie van toepassing zal zijn of niet, is niet aan mij.

Maar als het wel innovatief is... dan dus bij deze... vervang gezichts-matchen met spraakmatchen / handtekening matchen / barcode matchen / vingerafdruk matchen.. weer 4 nieuwe :)
"Deze kerel" is een vrouw ;)
"Promovenda Ileana Buhan van de Universiteit Twente heeft onderzoek gedaan naar deze nieuwe toepassing van biometrie. Zij promoveert op 23 oktober aan de faculteit Elektrotechniek, Wiskunde en Informatica."

http://www.utwente.nl/nieuws/pers/cont_08-044.doc/

Edit: was uiteraard een reactie op graey maar DarkShadow was me voor.

[Reactie gewijzigd door DayteX op 24 oktober 2008 00:36]

Nu maar hopen dat de methode ook bestand is tegen een woman-in-the-middle-aanval. :)
Dit is ze trouwens.
Oh ja? Snel een hologram plaatsen tussen de camera van alice en het gezicht van bob ťn op afstand het gezicht van alice aflezen. :+
Tuurlijk "even" een hologram maken. En dat valt natuurlijk in het zichtsveld van 1 van de 2 telefonisten helemaal niet op. Buiten het feit dat het hologram dan ook nog als een "echt" gezicht moet worden herkend en je daar redelijk wat spiegels voor nodig hebt. In plaats van gedoe met een hologram kun je dan ook gewoon meteen zijn telefoon afpakken dat scheelt weer en dan zijn we precies aangekomen bij de zwakste schakel in iedere beveiligingsketen, de mens.


edit: typo

[Reactie gewijzigd door Teigetje! op 24 oktober 2008 08:57]

Kan makkelijker hoor: Even een fototje van Alice er voor houden en het zou al moeten werken :+
Leuk idee om een foto als passphras te gebruiken, altijd leuker dan een key van 32768 bytes :)

Technisch lijkt het me net zo veilig / onveilig als een idioot lange key
Ik vraag me af of dit systeem dan ook in het donker/minder goed verlicht ruimtes werkt.
Als je foto's wilt maken of aan gezichtherkenning (optisch) wilt doen heb je wel licht nodig!

en hoe zit het met de afstand...als je 20 meter verder zit...kan de software dan nog het gezicht herkenning als je een foto maakt?

[Reactie gewijzigd door hing op 24 oktober 2008 10:53]

De methode is op zich heel goed bedacht maar ik vraag me of hoe sterk de daadwerkelijke encryptie is. Als het aantal specifieke kenmerken minder wordt zal de eenvoud van een brute force attack toenemen.

Recentelijk was hier op tweakers ook een onderwerp waarin gesteld werd dat versleuteld beeldmateriaal vaak eenvoudig te decoderen is.

[Reactie gewijzigd door E_E_F op 24 oktober 2008 10:59]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True